Global Preloader
Vulnerabilidad
(09/Mar/2018) Cisco soluciona 23 vulnerabilidades en múltiples dispositivos

Cisco soluciona 23 vulnerabilidades en múltiples dispositivos

Cisco ha publicado 23 boletines de seguridad para solucionar otras tantas vulnerabilidades (tres de gravedad crítica, una de gravedad alta y el resto de severidad media) en múltiples productos que podrían permitir la ejecución de código arbitrario, provocar denegaciones de servicio, realizar ataques de Cross-Site Scripting, inyectar comandos, acceder al dispositivo sin autorización entre otros ataques.

La primera vulnerabilidad considerada crítica afecta a Cisco Prime Collaboration Provisioning (PCP). Identificada con CVE-2018-0141, afecta el uso de contraseñas estáticas por defecto, permitiendo a un atacante local sin autenticar acceder al sistema y posteriormente conseguir permisos administrativos.

Con CVE-2018-0147, una vulnerabilidad en Cisco Secure Access Control System (ACS) podría permitir a un atacante remoto no autenticado ejecutar código arbitrario debido a un error a la hora de deserializar código Java.

La última vulnerabilidad crítica (CVE-2017-3881) permitiría también la ejecución remota de código arbitrario en Cisco Cluster Management Protocol (CMP) debido a errores a la hora de restringir y validar comandos Telnet específicos del protocolo CMP.

El primer problema considerado de gravedad alta afecta al software Cisco Web Security Appliance y permitiría a un atacante remoto acceder al servidor FTP sin conocer la contraseña, tan solo proporcionando un nombre de usuario válido.

Otros problemas de gravedad media son:

Revelación de información sensible mediante ataques de canal lateral a la CPU (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

Ataques de Cross-Site scripting en Cisco Videoscape AnyRes Live (CVE-2018-0220)

Ataques de Cross-Site scripting en Cisco UCS Director (CVE-2018-0219)

Inyección de comandos en Cisco StarOS CLI (CVE-2018-0224, CVE-2018-0217)

Cross-Site Scripting reflejado en Cisco Security Manager DesktopServlet (CVE-2018-0223)

Cross-Site Scripting en Cisco Registered Envelope Service (CVE-2018-0208)

Cross-Site Scripting en Cisco Prime Data Center Network Manager (CVE-2018-0144)

Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.